eBay setzt neue Sicherheitsmaßnahme
mangelhaft um

Im April kündigte eBay eine »Neue Maßnahme zur Erhöhung der Sicherheit auf dem eBay-Marktplatz« an und erklärte: »Es kommt immer wieder vor, dass Betrüger über gestohlene oder ausgespähte Passwörter Zugang zu fremden eBay-Mitgliedskonten erlangen, um unter fremdem Namen Waren zum Verkauf anzubieten. Aus diesem Grund werden wir ab dieser Woche damit beginnen, Mitgliedskonten denjenigen Computern zuzuordnen, die regelmäßig für Aktivitäten auf dem eBay-Marktplatz genutzt werden. Ab Mitte des Jahres werden wir diese Informationen nutzen, um die Identität des Verkäufers zu bestätigen […]«.

Diese Zuordnung nimmt eBay durch das Setzen von Flash-Cookies (»Local Shared Objects«, »LSO«) vor: Eine kleine Datei, die eine eindeutige Kennung enthält, wird auf dem Computer des Nutzers abgelegt. Flash-Cookies unterstehen nicht der Cookie-Verwaltung des Browsers. Sie werden über den Flash-Player ausgeliefert, so dass sie browserunabhängig und sessionübergreifend eingesetzt werden können. Die integrierten Sicherheitsrichtlinien von Flash sorgen dafür, dass auf Flash-Cookies nur von derselben Domain zugegriffen werden kann, von der aus sie ursprünglich gesetzt wurden.

Das von eBay zum Ausliefern und Abfragen der Cookies benutzte Flash-Objekt enthält jedoch einen schwerwiegenden Programmierfehler. Eigentlich dürften ausschließlich eBay-eigene Seiten und Skripte Zugriff auf die darin enthaltene Funktion zum Auslesen eines eBay-Flash-Cookies haben. Eine falsch implementierte Abfrage ermöglicht es aber nahezu jeder Webseite, eBays eigene Software zum „Cookieklau“ zu verwenden. Einzige Bedingung: Die Adresse der Seite muss - ganz ähnlich wie eBays Login-Seite - mit »signin« beginnen. Eine Testseite im Internet demonstriert das Problem:

Kriminelle übernehmen ein eBay-Mitgliedskonto üblicherweise durch „Phishing“: Der Nutzer wird auf eine gefälschte Einloggseite geleitet, auf der er sein Passwort preisgeben soll. Die derzeitige Sicherheitslücke ermöglicht es Betrügern, schädlichen Code zum unbefugten Auslesen des eBay-Flash-Cookies direkt auf einer solchen Phishing-Webseite unterzubringen. So kann gleichzeitig mit den Nutzerdaten der Opfer die eindeutige Kennung ihrer Computer gestohlen werden, die die Nutzung ihrer Mitgliedskonten erlaubt - direkt mit der Hilfe eBays eigener Software.

Seit Anfang 2007 ist es möglich, sein eBay-Mitgliedskonto mit einem Sicherheitsschlüssel zu schützen, der das von Banken bekannte eTAN-Verfahren anwendet. Die Nutzung ist momentan freiwillig, der Sicherheitsschlüssel könnte aber leicht für alle Nutzer verpflichtend eingeführt werden. Den geringen Kosten von 4,95 Euro pro Schlüssel stünde ein echter Mehrgewinn an Sicherheit gegenüber.

Gerade vor dem Hintergrund, dass die Flash-Technologie auf dem eBay-Marktplatz das Stehlen persönlicher Daten über eine XSS-Lücke ermöglicht (»falle-internet.de« berichtete), erscheint eBays derzeit favorisierter Ansatz der Verifizierung über Flash-Cookies wie Ironie.

Laut Stellungnahme eines Mitarbeiters von eBay wurde der Programmierfehler beseitigt. Wörtlich heißt es in der Stellungnahme: »Das von Falle Internet aufgezeigte Problem wurde sofort und vollständig nach Bekanntwerden behoben. Es besteht damit keine Möglichkeit des Missbrauchs durch Dritte oder eine Gefahr für die eBay Mitglieder. ...«